Ayuda, no puedo con este virus

[juancanj]

Hola a todos. Antes de poner este log, he intentado de todo; le he pasado varios antivirus, tanto instalados como online, he intentado borrar la dll que creo que es la causante y la tengo bloqueada de tal manera que ni con FileAssasin, ni con Unlocker ni ejecutando tskill he podido. Siempre me dice que el proceso está siendo utilizado o algo de eso. Con el HijackThis, como he indicado en el título, no me deja dar fix a la entrada resaltada que es la que utiliza esta dll. El Nod32 me dice que detecta un virus "probably a variant of Win32/Rootkit.Podnuha trojan". No se que hacer ya.

Pongo el log:



Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 0:47:22, on 20/01/2009

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Logitech\iTouch\iTouch.exe

C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb0 6.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\WinZip\WZQKPICK.EXE

C:\WINDOWS\explorer.exe

C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

[b]O2 - BHO: (no name) - {2DDBA5A5-72C5-44C2-8989-B1B4A5BB8B1B} - C:\WINDOWS\System32\lz32g.dll[/b]

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es\msntb.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es\msntb.dll

O4 - HKLM\..\Run: [zBrowser Launcher] C:\Archivos de programa\Logitech\iTouch\iTouch.exe

O4 - HKLM\..\Run: [EM_EXEC] C:\ARCHIV~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb0 6.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {A1F2F2CE-06AF-483C-9F12-D3BAA72477D6} (BatchDownloader Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/DigWXMSN.cab

O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe



--

End of file - 4522 bytes

[lucl]

Pues de entrada pasa elistara a tu pc, y nos pegas el log que te dejara en C infosat.txt





http://www.zonavirus.com/descargas/elistara.asp



luego tienes el pc sin actualizar con lo que estas expuesto a todo tipo de virus y problemas. Actualizalo lanzando un windows update. Y con elimover busca la dll de marras para que te la envie a la carpeta muestras asi poder enviarnosla para analizarla. Te dejo explicacion





Utilidad para copiar un fichero de una ruta determinada a CMUESTRAS , aunque tenga atributos de Oculto (Hidden) o de Sistema (System) o de Read Only (R), especialmente diseñado para malwares de moda que impiden acceder a OPCIONES DE CARPETA y configurar ver ficheros ocultos, o que impiden accedet a una ventana del DOS, y que impiden arrancar en modo seguiro, aparte de desactivar la edicion de Registro . para lo que en algunos casos que su ubicacion está dentro de c:windows... puede arrancarse en Consola de Recuperacion, pero si cuelga de C:RECYCLER... sin estar borrados, sino copiados, o se arranca con un



Con el ELIMOVER.EXE se le introduce ruta y nombvre del fichero y este será copiado a C:MUESTRASª sin atributos, para facilitar el envio de la muestra.



Ademas, si se sabe que es virus, puede marcarse la casilla de RENOMBRAR LA EXTENSION DEL FICHERO ORIGINAL a .VIR y asi ya no se pondrá en uso a partir del proximo reinicio.



Una ves copiada en C:MUESTRAS el fichero sospechoso, enviarnoslo para analizar.



ms, 24-11-2008









http://www.zonavirus.com/descargas/elimover.asp





y link de envio muestras





https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



saludos

[juancanj]

Muchas gracias lucl, esta noche lo intentaré.

No tengo windows actualizado porque si hay algún programilla que no reconozca con licencia, me dará el follón. Sé que se pueden descargar las actualizaciones sin seleccionar estos módulos, pero no se cuales son.

Como ya te he dicho, no he podido eliminar esa dll, ni siquiera con la opción de "eliminar al reiniciar" que pone el unlocker y el fileassasin. Ni en modo seguro tampoco he podido ni dar fix a la entrada ni eliminar la dll.

Lo dicho, cuando siga los pasos que me has indicado te contaré.

[msc hotline sat]

Un XP sin ningun parche : !!!



Scan saved at 0:47:22, on 20/01/2009

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)



inconcebible...





y este fichero es sospechoso, envianoslo para analizar:



C:\WINDOWS\System32\lz32g.dll







[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos





saludos



ms, 5-2-2009